優化銀行風險管理

風險可能在任何銀行任何環節出現，商業銀行需將風險管理范疇延伸，加建并維持動態的風險管理流程，優化風險組合；次貸危機更凸顯了業務擴張和風險管理的配套不容忽視

過去十多年，國內商業銀行在風險管理方面進步迅速。不過，銀行的產品及業務流程的日趨復雜、信息技術的發展、全球化、電子商務、新機構合作模式和急速的商業活動節奏等，令商業銀行面對的風險正急速地改變及擴大。衍生金融市場和金融工程技術的迅速發展，也豐富了產品風險管理的內容和要求。現今的風險管理，一定要超越傳統的財務及可受保的事故或意外，并伸延到廣泛的策略、運營、商譽、合規和資訊方面的風險。

厘清常見問題

商業銀行在進行風險管理時，必須首先厘清一些常見的問題。

第一是要了解風險的含義與風險回應。風險的定義非常簡單——“哪里會出現問題？”它可以來自四面八方，是無窮無盡的。而商業銀行必須認識到風險可以是“危”，亦可以是“機”。如果能夠正面、客觀地看待風險，有時候還能夠轉“危”為“機”。

如圖1所示，對于風險是可以有不同的回應的，除了傳統的降低風險，還可以轉移風險。例如，在減息周期，商業銀行會面對息差不斷縮窄的問題，可通過衍生金融工具如利率期權交易，將部分風險轉移給交易對手。當然，這要付出一定的代價，即期權金。有時候，商業銀行會將部分營運外判給第三方，這只是將該營運流程的操作風險轉換為對第三方服務商的篩選和監控的風險。

另外兩種風險回應是避免和接受。例如，銀行還沒有適當的業務人員和信息系統支持時，不應開張某些高風險的業務，如結構性衍生工具交易；此外，商業銀行有時會適當地授權一些小金額/低風險交易給操作層處理，就是鑒于對可以接受風險的考慮。

第二是統一風險評估衡量標準。

無論是哪種風險回應，風險都永遠不會減為“0”。風險評估可以用一個簡單的公式來表示：風險評級=風險因素的影響程度×風險因素發生的可能性。雖然是一個簡單的等式，但是風險評估在實際操作上絕不簡單。難點之一，即風險評估標準如何統一。由于因為不同商業銀行的風險偏好不同，同一銀行在不同發展階段承受風險能力亦不同。一家銀行視為高風險的業務，在另一家商業銀行可能是中風險，甚至低風險；針對同一風險事件，銀行內部不同人員判斷也不同。但只有統一的風險尺度，才能一致地衡量銀行所有主要風險，協助管理層做出適當的風險決策。

每家銀行都希望通過技術手段量化風險，更客觀和科學地進行風險管理決策。但是，任何風險管理模式都無法排除人為判斷，必須包含非量化因素如銀行的管理基調和內控合規文化等。因此，銀行必須在定性和定量風險分析上取得平衡。

第三是了解所使用的風險工具的局限性。

商業銀行業務通過流程改造及技術提升，大量運用數理統計模型來識別、衡量和監測風險，這在商業銀行日常管理上日趨重要。模型的使用涉及商業銀行多個層面，從計算個別金融產品的公允價值到評估銀行整體的操作風險。模型的復雜性也隨著其應用層面而增加。

管理層也必須了解模型風險和各類模型本身的局限性：

第一是模型本身設計上可能先天不足。例如，模型是否有充分的科學理論支持，參數是否設置適當。在假設歷史會不斷重演的前提下，參數的設定有時是基于過往的數據，如果參數的設定不合理或歷史數據并不反映現實情況，就會令模型的輸出結果有誤。

第二是模型應用不當。每個模型都基于不同的假設，有本身的局限性。如果使用者不了解其特定的使用條件、方法和局限性，可能將模型錯誤地投放在業務情景，或得出錯誤的風險結論甚至業務決策。例如，商業銀行經常應用的風險價值（VaR）就有一定的局限性。風險價值只是針對某個風險置信水平（confidence level）來評估損失。如在1天持有期99％的置信率下風險價值為100萬，就代表在100個交易日中，可能有99天該持有的相關組合損失不會超100萬。但是，使用者應該注意的是，風險價值并不能顯示出銀行可能蒙受的最大損失，若使用者只運用風險價值去評估最大損失風險，就錯誤解讀了風險價值能夠提供的風險數據。

第三是在建立模型后實施使用的問題。例如，所輸入的數據并不正確或不完整，計算出的風險數據就會有偏差。銀行對模型理論和使用方法可能沒有足夠的存檔供使用者參考，令重要風險數據在無人知曉的“黑盒子”中進行。此外，對使用者亦可能沒有足夠的應用培訓，并沒有要求對于模型的假設進行定期驗證，如風險價值的返回檢驗。

因此，商業銀行應設立一個管理所有模型的治理架構，以處理模型的開發建設、存檔、使用和更新。首先，在應用任何新模型前，就應將其理論及應用資料存檔作參考，以助使用者明白正確的使用方法。然后，在設置模型時，銀行需要設立一個詳細的驗證流程，進行不同的測試去驗證模型的準確性，以及了解其使用上的優點和缺點。對于一些應用頻率較高和層面較廣的模型，更應讓第三方機構去進行獨立的模型驗證。

構架三道防線

有效的風險管理是需要商業銀行各個職能單位共同發揮作用的，不應局限于個別專業職能，例如風險控制或者合規部門。要建立一個有效的風險管理架構，可參考以下的三道防線模型(見圖2)：

第一道防線為日常風險管理，由銀行各業務單位透過日常工作中的經營流程及控制活動對業務經營層面作出監控，當中包括識別、管理及匯報風險。業務人員是接觸客戶和處理交易的先頭部隊，在風險管理中起至為首要的作用。

第二道防線為風險監督，由專責部門或單位（如法律部、合規部、風險管理部等）通過有關的風險管理架構，審閱及向各業務單位匯報主要的風險指標。透過這些專責部門或單位的定期匯報，董事會及其屬下委員會能夠有成本效益地將風險控制在一個合理的水平。需要注意的是，專責部門或單位雖然對其他業務部門提供適當的風險技術支持，但他們的工作是取代不了前線業務單位日常工作中的風險監控活動的。

第三道防線為內部審計對于銀行的獨立監控。由于內部審計不參與任何業務或營運，所以能夠獨立、客觀地評價銀行整體風險管理架構的有效性及既定政策和管理措施的有效實施，并定期向審計委員會匯報審核發現。

總括而言，銀行內這三道防線之間的相互溝通和有機互動，是落實銀行有效風險管理的關鍵。 此外，商業銀行同時受若干外部機構的監控，例如銀監會及證監會頒布的相關法律法規指引和定期或不定期現場檢查、信貸評級機構及市場分析員對于商業銀行的分析研究報告，以及上市集資過程中中介機構的盡職審查和外部審計師的年度財務審計等。

但是，國內商業銀行對于有效的風險管理仍然存在一些誤解：

一些銀行對于第二道和第三道防線過分依賴。有些高級管理人員認為風險管理主要職能在于風險、合規或審計部，甚至希望通過大力加強合規和內審力量來杜絕風險事件的發生。

其實，任何商業銀行里合規部、審計部人員總和在銀行總人數的占比應不超過2％。要求2％的人員確保其余98％的人員不出錯和100％業務交易沒有問題，是不現實也不合理的。正如上文所述，第二道防線應提供專業的風險分析和匯報，而第三道防線則應獨立評審風險治理結構和流程層面的控制機制。

也有些人對外部的監控機構有一定的依賴。例如有的銀行希望透過外部審計師的年度財務審計查找財務數據錯漏和發現財務控制的問題。雖然外部審計師在年審中對銀行的財務報表或財務匯報流程可能發現一些問題，但是其工作是根據審計準則進行的，有一定的局限性，并且審計工作是抽樣檢查，不可能全查，而風險可能在任何銀行任何環節出現，甚至導致重大風險事件。

實施全面風險管理

有效風險管理的另一個要素，是全面風險管理的實施。

全面風險管理是一個結構性的工作方法，配合企業策略、工作流程、人力資源、技術和知識識別、分析和管理企業層面的不明確因素，繼而產生企業價值。在全面風險管理實施后，風險管理是銀行每一個人的責任。

例如，董事局根據銀行風險的承受能力和偏好，作企業風險的監管牽頭工作；專責風險部門通過既定的風險管理架構審閱、分析和匯報主要的風險數據和指標；單位業務經理在他們管理范圍內，支持及遵從風險管理理念；單位員工根據既定的規章制度來執行風險管理的具體操作程序。

全面風險管理將傳統的規避風險演化成風險組合最優化，即在銀行面對的眾多風險當中設定可接受的范圍，并在此規范下把握當中機遇并實現回報最大化。

在實施方面，全面風險管理并不是推翻銀行原有的風險管理基礎，而是在現有的風險管理內容基礎上，加建并維持一個動態的風險管理流程，使銀行能更積極和主動地識別、監控和優化風險組合。

除了不斷改善現有的風險管理體制，銀行亦需應付業務迅速發展對營運和監管合規管理的各項挑戰，例如與日俱增的監管要求、盈利目標的壓力、合并和收購行動后的重組等。

銀行很多時候都會相應增設與風險管理和內控相關的職能、資源和工具。然而，如果新增設的資源未能完全融入商業銀行日常業務中，就會造成業務、經營、財務、內控或合規部門各自采取獨立封閉式的應對措施。例如某個部門可能須向不同監管職能部門呈上不同形式但內容重復或相似的信息報告，而這些報告可能源自不同的系統/流程，而所含資料也有所差異，從而造成重疊勞動、資源浪費和整體低效。此外商業銀行亦存在大量的事后檢查，而負責檢查的單位和部門并沒有充分溝通，造成在銀行局部檢查過多，同時卻可能忽略銀行所面對的部分重要風險領域。

商業銀行在加強風險管理體制方面如何為銀行創造價值，似乎是越來越多人探討的話題。在全面風險管理體系下，管理層可以從以下三方面著手，從風險與回報角度出發，為銀行創造更大價值：

第一是銀行應以成效為重點評估風險管理（包括監管合規的的工作）。首先清晰了解和劃分模糊地帶并刪除重復程序。另外，控制措施和監控工作應根據其涉及的風險重新整合，側重于高風險區域，有關監控和風險報告亦應考慮適當簡化和突出重點問題。

第二是銀行應以價值為重點評估風險與回報，并與銀行的商業模式配合看齊。銀行要掌握及確定風險管理制度與工具，以及與商業決定相關的數據和訊息，并定期評估及匯報于相關部門，從而對現有的商業模式與新商機作出正確評估，以幫助作出提高盈利的商業決定及更清楚地了解商業決定對銀行的影響。

第三是銀行應以原則為重點評估風險管理，即將現有的風險管理模式與最佳模式的風險管理原則進行比較與分析，以增強風險管理方法的全面性、充足性及一致性。

次貸危機新啟示

從今年6月雷曼兄弟公司股價雪崩，到兩家聯邦房貸機構房利美（Fannie Mae）和房地美（Freddie Mac）(下稱“兩房”)出現危機，仍在持續的美國經濟和金融危機，值得國內商業銀行關注和深思。

首先讓我們重溫風險管理的最基本元素(back to basic)——真正了解銀行所面對的風險。次貸問題源自基本的信貸風險問題，顯然先進的國際商業銀行在審批房貸方面具有完善的控制，但素質不合格的貸款還是批出了。相信任何一家在次貸中蒙受損失的商業銀行，現在都非常后悔向沒有經濟負擔能力的人提供房貸供款、負按揭產品，或是在地產泡沫不斷膨脹時，不僅讓借款人延遲房貸供款，甚至可以根據抵押房屋的升值向銀行借更多現金。

本身已經有問題的房屋貸款組合通過投資銀行打包成證券化產品，只是資產重新組合的一個過程，沒有把風險真正降低。眾多銀行盲目地通過資產證券化或購買證券化產品追求高投資回報，并沒有清楚地分析研究風險根源是什么。即使擁有豐富風險管理經驗和先進管理水平的大牌金融機構，也在去年出現巨額的資產減值。而房利美和房地美除購買了信貸衍生品金融產品，也從金融機構買入大量按揭資產，并在資本市場上將它們證券化。通過購買和制造復雜的金融產品，“兩房”為泡沫的膨脹起到了推波助瀾的作用。

毫無疑問，國內商業銀行的未來發展擁有巨大的潛力，但銀行必須從次貸和“兩房”危機中汲取經驗教訓，重新檢討本身信貸風險和建立有效的風險管理架構。

傳統上國內商業銀行在風險管理方面主要側重于信貸風險。隨著國內監管機構對于銀行風險管理的指引不斷推出和巴塞爾新資本協議的要求，商業銀行已開始在市場和操作風險方面投入大量資源，須確保所有業務增長是有質量的增長。

一方面，商業銀行應加快業務創新，大力發展中間業務，改善盈利結構和繼續優化資產組合；另一方面，亦應高度關注國際經濟金融大形勢的變化對銀行本身經營發展的影響，審慎權衡相關風險，穩妥開展海外投資和業務，并積極推動巴塞爾新資本協議的實施。管理層在開展新業務或進行收購擴張之前，必須謹慎考慮是否與銀行策略吻合、擁有合理的戰略規劃，并進行詳盡的謹慎調研和事后反饋分析。董事會和高層管理人員應站在發展戰略的高度，充分認識新業務或環境轉變可能給銀行帶來的各種風險隱患。■

作者為畢馬威會計師事務所風險咨詢服務部合伙人

信托PE操作指引出臺

業內關注的《信托公司私人股權投資信托業務操作指引》（下稱《操作指引》）近期出臺。

根據《操作指引》，私人股權投資信托（下稱信托PE，即Private Equity Fund），是指信托公司將信托計劃項下資金投資于未上市企業股權、上市公司限售流通股或者銀監會批準可以投資的其他股權的信托業務。信托公司應對私人股權信托計劃的投資理念、策略、投資方向等相關因素制作報告書，并經過公司信托委員會通過；對具體的投資目標公司進行盡職調查，按照勤勉的原則形成投資決策報告以及按決策流程通過后，方可正式實施。

在以往實踐中，一些信托公司只是提供了一個信托平臺，另聘具有投資業績記錄的咨詢公司來對信托計劃提供投資咨詢。《操作指引》則明確要求信托公司對私人股權信托計劃進行主動管理，意在強化受托人責任。

不過，《操作指引》并沒有完全解決私人股權信托計劃的退出通道問題，信托PE按規定可以通過股權上市、協議轉讓、被投資企業回購、股權分配等方式實現投資退出，但證監會在操作上并不接受任何帶有信托計劃股東的上市發行。